Protection des données personnelles

Grandir et Agir en conformité
HLG Avocats conseille ses clients pour mettre en place et développer une politique de gestion des données personnelles respectueuses du droit et des personnes. HLG Avocats réalise des audits et rédige des recommandations à l’attention des responsables dédiés et travaille en collaboration pour mettre en œuvre les procédures adaptées et les contrôles nécessaires au bon fonctionnement des politiques internes de l’entreprise.

01

RGPD : ce qu’il faut savoir

1. Qu’est-ce que le RGPD ?

Il s’agit du règlement européen n° 2016/679 du 27 avril 2016 relatif à la protection des données personnelles (RGPD) qui est entré en vigueur le 25 mai 2018.

2. A qui s’applique le RGPD ?

Le RGPD s’applique à toutes les structures (entreprises, administrations ou organismes publics) de toute taille dès lors qu’elles sont établies dans l’un des pays membres de l’Union Européenne ou qu’elles traitent des données personnelles relatives à des résidents de l’Union européenne.

3. Qu’est-ce qu’une donnée personnelle au sens du règlement ?

Les données à caractère personnel sont définies comme « toute information se rapportant à une personne physique identifiée ou identifiable ».

Une personne physiques identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, un numéro d’identification, des données de localisation ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Lire la suite

1. Qu’est-ce que le RGPD ?

Il s’agit du règlement européen n° 2016/679 du 27 avril 2016 relatif à la protection des données personnelles (RGPD) qui est entré en vigueur le 25 mai 2018.

2. A qui s’applique le RGPD ?

Le RGPD s’applique à toutes les structures (entreprises, administrations ou organismes publics) de toute taille dès lors qu’elles sont établies dans l’un des pays membres de l’Union Européenne ou qu’elles traitent des données personnelles relatives à des résidents de l’Union européenne.

3. Qu’est-ce qu’une donnée personnelle au sens du règlement ?

Les données à caractère personnel sont définies comme « toute information se rapportant à une personne physique identifiée ou identifiable ».

Une personne physiques identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, un numéro d’identification, des données de localisation ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

4. Que devient la loi Informatique et Libertés ?

Le 21 juin 2018, une nouvelle loi Informatique et Libertés est entrée en vigueur. Son objet est de mettre en œuvre concrètement le RGPD et la directive dite « police justice ».

Les dispositions du RGPD et de la directive 2016/680 ont été codifiées par ordonnance et intégrées dans la loi Informatique et Libertés de sorte que la structure de ce texte a été conservée.

5. Avec l’entrée en vigueur du RGPD, existe-t-il encore des formalités à réaliser auprès de la CNIL ?

Avec l’entrée en vigueur du RGPD, les formalités à effectuer auprès de la CNIL ont presque toutes disparu. Ainsi, il n’est désormais plus nécessaire d’effectuer une déclaration normale, déclaration simplifiée ou demande d’autorisation. Ces textes seront prochainement transformés par la CNIL en « référentiels » pour guider les professionnels souhaitant se mettre en conformité avec la règlementation.

Exception notable : les demandes d’autorisation en matière médicale restent applicables.

6. Qu’est-ce qu’un délégué à la protection des données (DPO) ?

De façon schématique, il s’agit de la personne responsable de la mise en œuvre du RGPD au sein de l’entreprise.

Il a notamment pour rôle de :

  • Sensibiliser les collaborateurs de l’organisme qui le désigne au respect du RGPD ;
  • Mettre en œuvre et superviser des audits internes à l’organisme sur le respect du RGPD ;
  • Conseiller l’organisme quant à l’opportunité de réaliser une analyse d’impact et, dans l’affirmative, superviser l’exécution ;
  • Recevoir et répondre à toute question relative à la protection des données ;
  • Gérer les relations de l’organisme avec la CNIL.

7. Quel est le profil idéal d’un DPO ?

Le DPO peut être un collaborateur de l’organisme qui le désigne mais également un prestataire externe (par exemple, un avocat). Afin d’exercer efficacement sa mission, un DPO doit disposer d’une bonne connaissance du RGPD mais d’une connaissance approfondie du secteur d’activité de l’organisme qui le désigne. Enfin, il ne doit pas avoir de conflits d’intérêts avec ses autres missions et doit pouvoir exercer ses fonctions de DPO en toute indépendance.

Dans la pratique, il s’agit souvent du responsable IT ou du responsable juridique.

8. Dans quel cas faut-il nommer un DPO ?

La désignation d’un DPO est obligatoire pour les organismes publics ou les entreprises dont l’activité de base les amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Dans les autres cas, la désignation d’un DPO est facultative mais est encouragée par la CNIL.

9. Quelles sont les sanctions encourues en cas de non-respect du RGPD ?

Les contrevenants encourent une amende pouvant atteindre 4% de leur chiffre d’affaires annuel mondial.

10. Que faire pour se mettre en conformité ?

Pour une mise en œuvre efficace du RGPD, il est essentiel de réaliser une cartographie des traitements de données mis en œuvre au sein de l’organisme et d’effectuer un audit de conformité de son système d’information.

Nous sommes naturellement à votre disposition pour accompagner dans ce cadre et vous renvoyons à notre offre correspondante.

Refermer

S, M, L, XL
L'offre à votre taille

Des offres de prestations de conseils juridiques ciblées et modulables